Volgend jaar nieuwe standaard WLAN-beveiliging

Het duurt nog zeker een jaar voordat de nieuwe IEEE 802.11i standaard voor wireless netwerken uitkomt. Deze nieuwe Wi-Fi standaard zal alle bekende beveiligingsproblemen van de huidige IEEE 802.11 protocollen oplossen. Een specialist van Intel die betrokken is bij de ontwikkeling van IEEE 802.11i sprak over de ontwikkeling op het Spring Intel Developer Forum. Veiligheid vereist niet alleen goede encryptie maar ook de zekerheid dat het bericht niet veranderd is gedurende de verzending. Een derde veiligheidsaspect is authenticatie: Het vertrouwen kunnen hebben dat een bericht ook daadwerkelijk afkomstig is van de vermelde afzender. Deze drie punten zullen gaan zorgen voor meer veiligheid voor de gebruiker van WiFi. In de huidige standaard is alleen gezorgd voor encryptie waarbij dezelfde sleutel steeds opnieuw wordt gebruikt. Met IEEE 802.11i zal het mogelijk zijn om voor iedere sessie een nieuwe sleutel aan te maken:

There have to be mechanisms to make sure that the data is really coming from its supposed source, that it can't be seen and that it can't be modified. "It's not enough just to have authentication. You need to have, along with that strong authentication, a strong encryption mechanism, coupled with data integrity," said Sri Sundaralingam, a technical marketing engineer at Cisco. Among other improvements, 802.11i will include a system for creating fresh keys at the start of each session.

It will also provide a way of checking packets to make sure they are part of a current session and not repeated by hackers to fool network users, Walker said. To manage keys, it will use Remote Authentication Dial-In User Service and the IEEE 802.1x standard. In advance of approval of 802.11i, users should be able to give their WLANs a subset of the upcoming security features through a software or firmware upgrade to Wireless Protected Access (WPA), a specification adopted by the Wi-Fi Alliance, the industry group that certifies Wi-Fi products. Beginning in August, all Wi-Fi products will be equipped with WPA, Walker said.

IT-banen

Reacties (11)

UvAkid 25 februari 2003 22:47

Ik neem de stelling aan dat Cisco 802.1x NIET gelijk is aan 802.11i

Als er slimme tweakers zijn die deze stelling kunnen tegenspreken dan hoor ik dit graag !

802.1X
Om een veilig en waterdicht toegangsmechanisme te creëren, heeft de IEEE een protocol gedefinieerd dat op zo laag mogelijk in het OSI-lagenmodel de toegang regelt, waarna op hogere lagen (met name IP) de toegang transparant is. Dat betekent dat hand-overs van AP naar AP sneller verlopen dan eerder genoemde mechanismen. 802.1X zorgt ervoor dat een verzoek tot authenticatie (en ook alleen dat verzoek) versleuteld aankomt bij het AP, waarna het AP aan een authenticatie-server vraagt of de gebruiker mag inloggen. De berichtenstroom zit verpakt in het Extensible Authentication Protocol (EAP), dat bovenop 802.1X draait. Binnen EAP zijn verschillende typen authenticatie mogelijk (username/password, certificaten/chipkaarten, etc). Na authenticatie wordt de data-stroom versleuteld, en zijn zelfs IP-adressen niet meer zichtbaar voor hackers. Meer informatie over 802.1X staat op http://www.surfnet.nl/innovatie/wlan/

Anoniem: 71287 @UvAkid • 25 februari 2003 22:55

Als er slimme tweakers zijn die deze stelling kunnen tegenspreken dan hoor ik dit graag !

Die stelling aannemen is niet zo heel moeilijk, aangezien je het over twee verschillende standaarden hebt. 802.1x wordt in de volksmond ook wel authenticated vlan's genoemd, niets anders als dmv RADIUS een ethernetport dynamisch in een vlan te gooien op basis van user credentials.
Ik ken de specificaties niet van 802.11i, maar het lijkt mij (op basis van dit nieuws artikel) meer op een nieuwe encryptie techniek voor WLAN, dit kun je alsnog icm gebruiken met 802.1x maar dat doe je om weer hele andere redenen....

avon @UvAkid • 25 februari 2003 23:10

Met IEEE 802.11i zal het mogelijk zijn om
voor iedere sessie een nieuwe sleutel aan te maken:

Het is niet voor iedere sessie maar voor iedere 10 kB
aan verstuurde data wordt een nieuwe sleutel aangemaakt.

jochemd @UvAkid • 25 februari 2003 23:11

Cisco 802.1x

802.1x is van de IEEE, niet van Cisco. En hoewel ze de standaard inmiddels goed ondersteunen komt hij oorspronkelijk meer uit de hoek van de traditionele switchfabrikanten HP en 3Com.

802.1X zorgt ervoor dat een verzoek tot authenticatie (en ook alleen dat verzoek) versleuteld aankomt bij het AP

Nee, het regelt alleen dat het authenticatieverzoek aankomt op het AP.
De encryptie is afhankelijk van wat je precies in je EAP pakketjes verpakt. Als je bijvoorbeeld gebruik maat van EAP-TTLS is de encryptie goed, bij EAP-TLS zou ik er niet te veel op vertrouwen (enkelzijdige authenticatie laat ruimte voor man-in-the-middle attack).

Na authenticatie wordt de data-stroom versleuteld

Dat is een keuze die niet noodzakelijkerwijs voortvloeit uit het protocol. Dat dit meestal de meest gewenste implementatie is spreekt natuurlijk voor zich.

Fairy 25 februari 2003 22:08

Dit is een goede ontwikkeling. Wat ik me echter afvraag hier is of het mogelijk is met een firmware upgrade de huidige apparatuur geschikt te maken hiervoor.

Mijn Linksys WAN AP is flashable maar mijn 3Com wireless kaart denk ik niet, maar misschien is dit helemaal niet nodig omdat deze afhandeling softwarematig gebeurt.

Ik hoop dat hier een passende oplossing gemaakt wordt voor de huidige gebruikers van wireless netwerken...

frankvdtillaart @Fairy • 25 februari 2003 22:51

Stukje van mijzelf gequote uit http://www.tweakers.net/nieuws/25660

wat extra kennis:
802.11b 2.4 GHz
802.11a 5 GHz
802.11g 2.4 GHz (compatible met 802.11b)

En om je vraag te beantwoorden:
Je router en je netwerkkaart zitten op dezelfde bandbreedte (anders kunnen ze helemaal niet communiceren). En je router is upgradable (dus die kan nieuwe technieken 'leren'. En je netwerk kaart weer niet (denk je).
Ik neem aan dat deze aanpassingen zo ingrijpend zijn, dat ze niet met een TCP/IP protocol look-a-like op te lossen zijn... (anders zou namelijk je beveiliging nergens op slaan).

Voor een thuisnetwerk zou WEP-encryptie overigens voldoende moeten zijn ... gewoon je eigen 26-characters (0..9 + a..f) invullen, en een knappe jongen die jou huisnetwerk gaat kraken.

Deze beveiligingen zijn meer bedoeld voor aanbieders van draadloos internet en bedrijven die 802.11b (@5.4 Mbps) over 15 km heen stralen ...

Edit:
Quote uit artikel:

In advance of approval of 802.11i, users should be able to give their WLANs a subset of the upcoming security features through a software or firmware upgrade to Wireless Protected Access (WPA),

Die WPA is dus een onderdeel van 802.11i die beschikbaar moet zijn voor bv jouw router.

edit na thevoid:
ja okay, misschien is het nog wel makkelijk te kraken. Maar waarom zou iemand van z'n buurjongen willen zien welke xXx-release hij nou weer op z'n share heeft staan?
Als het ingebakken zit in je spullen oke, maak er dan gebruik van. Maar om nou speciaal je routers e.d. te gaan upgraden omdat er ' weer iets nieuws is ', lijkt mij voor een thuisgebruiker toch overbodig. (Maar laat mij je niet tegenhouden)

En hier nog wat stuff om mijn standpunt hopeloos te verdedigen

Anoniem: 61323 @frankvdtillaart • 25 februari 2003 23:18

Ook hele domme jongens kunnen een wifi wat zo beveiligd is nog kraken zoals jij het schetst... een key die niet veranderd en dataverkeer erover maakt die key cryptografisch steeds zwakker...

Deze beveiligingen zijn meer bedoeld voor aanbieders van draadloos internet en bedrijven die 802.11b (@5.4 Mbps) over 15 km heen stralen ...

Nee dus, het belangrijkste is dat er per aangemelde gebruiker weer een nieuwe sessie wordt aangemaakt... wat dus ideaal is voor een bedrijfsnetwerk... daar is dus ook de standaard op gericht.

In principe kun je gewoon de encryptie zelf op je netwerklaag doen en heb je daar geen extra firmware in je kaart voor nodig. Zie de huidige implementaties van .1X op verschillende accesspoints. Is nog niet perfect, maar iig wel per sessie een opnieuw gegenereerde key...

Waarom duurt dit NOG een jaar? er is al jaren research over geweest, er zijn al genoeg standaarden die met een beetje aanpassen perfect zouden werken... *zucht*

rsmits @frankvdtillaart • 26 februari 2003 09:31

Voor een thuisnetwerk zou WEP-encryptie overigens voldoende moeten zijn ... gewoon je eigen 26-characters (0..9 + a..f) invullen, en een knappe jongen die jou huisnetwerk gaat kraken.

WEP-encryptie is hexadeciamaal, dus dat wil zeggen dat er 16-characters zijn, in de reeks die jij noemde.

Anoniem: 79615 25 februari 2003 23:27

"Gepost door Yoshi dinsdag 25 februari 2003 - 23:11 Score: 1
Cisco 802.1x
802.1x is van de IEEE, niet van Cisco. En hoewel ze de standaard inmiddels goed ondersteunen komt hij oorspronkelijk meer uit de hoek van de traditionele switchfabrikanten HP en 3Com"

Dat is fout, de originele bedrief dat de standard heeft gezet (in besluit me andere) is Lucent Technologies (nu Agere), HP 3COM en all dat ander gespuis koop gewoon de chipset en kaartje en plakken hun stickertje erop.

jochemd @Anoniem: 79615 • 26 februari 2003 00:14

Zou je gewoon in de thread kunnen antwoorden?

Ik heb het over de standaard zelf, niet over chipsets etc. die de standaard implementeren.

buzzin 26 februari 2003 11:10

Het enige dat ik met afvraag is, gaat het niet tenkoste van wat bandbreedte?
Ik bedoel als je ook nog eens de encryptie (die zal niet veel extra's opleveren denk ik), authenticatie enzo over de verbinding moet sturen, ga je dan niet veel meer netwerk verkeer voor de zelfde hoeveelheid data krijgen?

Op dit item kan niet meer gereageerd worden.

Volgend jaar nieuwe standaard WLAN-beveiliging

Lees meer

IT-banen

Reacties (11)

Sorteer op:

Weergave: